[datensicherheit.de, 07.12.2023] Die Verbraucherzentrale NRW hat gleich am 7. Dezember 2023 Stellung zum aktuellen Urteil des Europäischen Gerichtshofes (EuGH) zum Schufa-Scoring genommen – demnach stärkt dieses die Verbraucherrechte.

Schufa muss darlegen, wie die Werte des Bonitätsscorings zustandekommen

Die SCHUFA Holding AG (Schufa) müsse Verbraucher von nun an Auskunft darüber geben, „wie die Werte des Bonitätsscorings (Schufa-Score) zustandekommen“. Der EuGH hat am 7. Dezember 2023 in einem Verfahren gegen die Auskunftei entschieden, „dass es sich um eine automatisierte Entscheidung handelt, wenn ein Vertragsabschluss maßgeblich vom Schufa-Score abhängt“.

Dies habe zur Folge, dass Verbraucher nun mehr Transparenz von der Schufa verlangen könnten und das Recht hätten, zu erfahren, „wie der Wert ihres Schufa-Scores zustandekommt“.

Schufa hatte bisher nähere Erläuterung der Berechnung abgelehnt

Hintergrund des Verfahrens war laut der Verbraucherzentrale NRW, dass die Schufa eine nähere Erläuterung der Berechnung unter Berufung auf das Geschäftsgeheimnis ablehnte und auf die Anbieter verwies, da diese letztlich entscheiden würden, ob und zu welchen Konditionen ein Vertrag zustande komme. „Wie der Score konkret berechnet wird, war für die Betroffenen bisher kaum nachvollziehbar.“

„Diesem Ping-Pong bei dem Wunsch nach Auskunft setzt der EuGH nun ein Ende und sorgt für mehr Transparenz beim Bonitätsscoring“, betont Wolfgang Schuldzinski, Vorstand Verbraucherzentrale NRW. Verbraucher müssten verständliche Informationen erhalten, wie ihre Score-Werte zustande kommen. Jetzt komme es darauf an, dass das Schutzniveau der Datenschutzgrundverordnung (DSGVO) bei solchen automatisierten Entscheidungen nicht durch nationale Gesetze wieder abgesenkt werde.

Weitere Informationen zum Thema:

datensicherheit.de, 22.10.2023
Nur ein erster Schritt: Löschung von Positivdaten bei der SCHUFA

Thomas Lo Coco nimmt Stellung zur Cyber-Attacke vom 30. Oktober 2023

[datensicherheit.de, 31.10.2023] Nach aktuellen Medienberichten sollen nach einem Cyber-Angriff mehrere Städte und Landkreise im Süden Nordrhein-Westfalens seit dem 30. Oktober 2023 online nicht mehr erreichbar sein – als Ursache wird eine Cyber-Attacke auf Südwestfalen IT, den kommunalen Dienstleister, genannt. Thomas Lo Coco, „Regional Director Central Europe“ bei Absolute Software, weist in seiner Stellungnahme auf die Bedeutung und Vielschichtigkeit der Cyber-Resilienz hin.

Foto: Absolute Software

Thomas Lo Coco rät, Strategie zur Reduzierung der Auswirkungen eines Cyber-Angriffs zu entwickeln

Neue Strategie zur Bewältigung zunehmender Cyber-Bedrohungen: Cyber-Resilienz

Lo Coco kommentiert: „Angriffe auf IT-Dienstleister sind heutzutage an der Tagesordnung; und diese sind vor allem dann verheerend, wenn es den Angreifern gelingt auf die Systeme deren Kunden zuzugreifen.“ Dadurch multipliziere sich der potenzielle Schaden im Handumdrehen. Natürlich sei und bleibe es wichtig, es den Angreifern so schwer wie möglich zu machen in die Systeme einzudringen, aber jeder Verantwortliche wisse, dass es keine 100-prozentige Sicherheit gebe. Es gelte daher Vorkehrungen zu treffen, „welche die möglichen Folgen einer Attacke so gering wie möglich halten“.

Er erläutert: „Das bedeutet, dass es ebenso wichtig ist, eine Strategie zur Reduzierung der Auswirkungen zu entwickeln, anstatt sich in erster Linie darauf zu konzentrieren, Kriminelle vom Netzwerk fernzuhalten. Im Gegenzug haben viele Unternehmen damit begonnen, eine neue Strategie zur Bewältigung der zunehmenden Cyber-Bedrohungen einzuführen, die als ,Cyber-Resilienz’ bezeichnet wird.“

Cyber-Resilienz – antizipieren, standzuhalten, erholen bzw. anpassen

Der aktuelle Fall zeige einmal mehr, dass die effektive Absicherung der PCs im BIOS (basic input/output system / PC Firmware) beginne und essenziell sei, „wenn es darum geht, wieder sehr schnell einsatzbereit zu sein“. Das IT-Security-Konzept von Unternehmen, Ämtern und Behörden sei nur dann wirklich wirksam, „wenn man die BIOS-Ebene mit einbezieht“.

Laut der MITRE Corporation und dem National Institute of Standards and Technology (NIST) in den USA ist Cyber-Resilienz „die Fähigkeit, widrige Bedingungen, Belastungen, Angriffe oder Gefährdungen von Cyber-Ressourcen zu antizipieren, ihnen standzuhalten, sich davon zu erholen und sich an sie anzupassen“.

Unerwünschtes Cyber-Ereignis darf keine negativen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit haben

Der Bedarf an Cyber-Resilienz ergebe sich aus der wachsenden Erkenntnis, dass herkömmliche Sicherheitsmaßnahmen nicht mehr ausreichten, um Systeme, Daten und das Netzwerk vor Kompromittierung zu schützen. Das Ziel der Cyber-Resilienz bestehe darin, „sicherzustellen, dass ein unerwünschtes Cyber-Ereignis keine negativen Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Geschäftsbetriebs einer Organisation hat“, so Lo Coco.

Cyber-Sicherheit wende Technologien, Prozesse und Maßnahmen an, welche darauf abzielten, Systeme, Netzwerke und Daten vor Cyber-Angriffen zu schützen. Im Gegensatz dazu konzentriere sich Cyber-Resilienz auf detektierende und reaktive Kontrollen in der IT-Umgebung eines Unternehmens, um Lücken zu bewerten und Verbesserungen der gesamten Sicherheitslage voranzutreiben. „Die meisten Cyber-Resilienz-Initiativen nutzen oder verbessern eine Vielzahl von Cyber-Sicherheitsmaßnahmen. Beide sind am effektivsten, wenn sie gemeinsam angewendet werden.”

4 Aspekte einer Cyber-Resilienz-Strategie

„Wenn es um Cyber-Resilienz geht, glauben viele Unternehmen leider, dass die Datensicherung (Backup) ihre wichtigste bzw. einzige Option zur Etablierung dieses Ansatzes ist“, moniert Lo Coco. Cyber-Resilienz-Strategien umfassten jedoch unter anderem die folgenden Aspekte:

1. Ständige Konnektivität
„Halten Sie eine vertrauenswürdige Verbindung mit Endpunkten aufrecht, um unsicheres Verhalten oder Bedingungen zu erkennen, die sensible Daten gefährden könnten!“ Dazu gehörten eine detaillierte Transparenz und Kontrolle über Endpunkt-Hardware, Betriebssysteme, Anwendungen und auf dem Gerät gesammelte Daten. Diese ständige Konnektivität könne im Falle eines Ransomware-Angriffs bei der Wiederherstellung des Betriebssystems hilfreich sein.

2. Fehlkonfigurationen im Fokus
„Überwachen und beheben Sie Fehlkonfigurationen – automatisch, wenn möglich, da Unternehmen nicht davon ausgehen können, dass der Zustand ihrer IT-Kontrollen oder -Sicherheit im Laufe der Zeit stabil bleibt!“

3. Dynamische Web-Filterung
„Überwachen Sie zudem den Status der Netzwerkkonnektivität, den Sicherheitsstatus und die potenzielle Bedrohungslage, um mithilfe dynamischer Web-Filterung eine akzeptable Nutzung durchzusetzen!“

4. Dynamische, kontextbezogene Netzwerk-Zugriffsrichtlinien
Und abschließend rät Lo Coco: „Erzwingen Sie dynamische, kontextbezogene Netzwerk-Zugriffsrichtlinien, um Personen, Geräten oder Anwendungen Zugriff zu gewähren.“ Dazu gehöre die Analyse des Gerätestatus, des Anwendungszustands, der Netzwerkverbindungssicherheit sowie der Benutzeraktivität, um anschließend vordefinierte Richtlinien am Endpunkt und nicht über einen zentralen Proxy durchzusetzen.

Weitere Informationen zum Thema:

ZEIT ONLINE, 31.10.2023
NRW: Hackerangriff legt IT-Infrastruktur von 70 Kommunen lahm

Verbraucherzentrale NRW fordert von Auskunfteien wie der SCHUFA generellen Stopp der Übermittlung

[datensicherheit.de, 22.10.2023] Laut einer Stellungnahme der Verbraucherzentrale NRW hat die SCHUFA Holding AG am 19. Oktober 2023 bekanntgegeben, dass sie gespeicherte Positivdaten von Mobilfunkkunden löschen werde. Unter sogenannten Positivdaten werden demnach Informationen über abgeschlossene Verträge mit Telekommunikationsanbietern oder anderen Firmen verstanden – die keine Einschätzung der Zahlungswahrscheinlichkeit beinhalteten.

Foto: VZ NRW / Artes

Wolfgang Schuldzinski fordert Telekommunikationsanbieter auf, die Übermittlung von Positivdaten an Auskunfteien generell einzustellen

Übermittlung solcher Daten z.B. an die SCHUFA nicht ohne Weiteres zulässig

Bei den Positivdaten hätten Betroffene sich im Unterschied zu sogenannten Negativdaten also nichts zuschulden kommen lassen. Da eine Übermittlung solcher Daten an Wirtschaftsauskunfteien wie die SCHUFA aus Sicht der Verbraucherzentrale NRW nicht ohne Weiteres zulässig ist, hatte sie gerichtliche Verfahren gegen die Mobilfunkanbieter Telekom, Vodafone und Telefónica eingeleitet.

Diese Beklagten hätten ohne Zustimmung ihrer Kunden Positivdaten an die Auskunftei weitergegeben. Das Landgericht München I (Az 33 O 5976/22) habe den Verbraucherschützern in einem noch nicht rechtskräftigen Urteil bereits Recht gegeben. Nun habe die SCHUFA reagiert und angekündigt, die Positivdaten zu löschen.

SCHUFA beendet unrechtmäßige Datenspeicherung

„Wir freuen uns, dass unser Einsatz für Verbraucherrechte nun konkrete Maßnahmen nach sich zieht, indem die SCHUFA die unrechtmäßige Datenspeicherung beendet und die vorhandenen Daten löscht“, kommentiert Wolfgang Schuldzinski, Vorstand der Verbraucherzentrale NRW.

Diese Maßnahme könne aber nur der erste Schritt sein. „Wir fordern die Telekommunikationsanbieter weiterhin auf, die Übermittlung von Positivdaten an Auskunfteien generell einzustellen“, betont Schuldzinski abschließend.

[datensicherheit.de, 21.11.2022] Die Verbraucherzentrale NRW warnt in ihrer aktuellen Stellungnahme vor dem sogenannten Single-Sign-On, d.h. vor dem Login über Social-Media-Accounts: Viele Internetshops, Plattformen und Apps bieten die Möglichkeit, sich mit einem Social-Media-Account, Google- oder Amazon-Konto zu registrieren (s. „Weiter mit Facebook“, „Weiter mit Google“ etc.). Die vordergründigen Vorteile liegen auf der Hand: Keine neue Registrierung, keine zusätzliche Angabe von Daten, kein lästiges Erstellen und Merken eines weiteren Passworts. „Der Komfort birgt allerdings auch Risiken”, betont Ayten Öksüz, Datenschutzexpertin bei der Verbraucherzentrale NRW, und führt aus: „Wenn das Passwort für den eigenen Social-Media-Account in die falschen Hände gerät, erhalten Dritte Zugang zu allen Seiten, die mit diesem Account genutzt werden. Außerdem kann der Anbieter des Benutzerkontos umfassende Daten darüber sammeln, was die Personen auf anderen Internetseiten machen.”

Login per Single-Sign-On als Generalschlüssel

Viele Web-Shops, Plattformen und Apps erfordern für die Nutzung eine einmalige Registrierung, wofür in der Regel eine E-Mail-Adresse und ein Passwort benötigt werden. Manchmal müssen auch noch weitere persönliche Angaben gemacht werden. „Als äußerst praktisch erscheint es, wenn der Seitenbetreiber stattdessen oder zusätzlich die Möglichkeit bietet, sich mit einem anderen, bereits bestehenden Konto einzuloggen. Das kann zum Beispiel ein Social-Media-Account von Facebook oder ein Google- oder Amazon-Konto sein, womit auch gleich bezahlt werden kann“, so Öksüz. Hierbei spreche man im weitesten Sinne von Single-Sign-On: Das Benutzerkonto diene dann als eine Art Generalschlüssel für den Zugang zu anderen Diensten.

Missbrauch der Login-Option per Single-Sign-On

„Anfang Oktober informierte Facebook darüber, dass Kriminelle mit mehr als 400 Apps für ,Android’ und ,iOS’ die Login-Daten von ,facebook’-Mitgliedern gestohlen hätten“, berichtet Single-Sign-On. Diese hätten die Möglichkeit „Login mit Facebook“ angezeigt, über die man sich vermeintlich mit seinem „facebook“-Account habe anmelden können. „Allerdings waren es Phishing-Formulare, die die eingegebenen Anmeldedaten und Passwörter direkt an die Kriminellen geschickt haben.“ Die hätten damit die „facebook“-Konten der Betroffenen übernehmen können. Wie bei einem Generalschlüssel für ein Haus, könne der Schaden beim Verlust eines Single-Sign-On-Account-Passworts besonders groß werden. Kriminelle hätten dann leichtes Spiel. „Wenn sie das eine Passwort kennen, erhalten sie überall Zugriff“, warnt Öksüz.

Single-Sign-On auch aus Sicht des Datenschutzes bedenklich

Unabhängig von Fragen der Sicherheit sei die Anmeldung per Single-Sign-On auch aus Sicht des Datenschutzes bedenklich. So erhielten Anbieter des Single-Sign-On oftmals Informationen aus dem öffentlichen Profil der Kunden. Öksüz stellt klar: „Das sind im Zweifel mehr Daten als bei einer regulären Registrierung erforderlich gewesen wären.“ Gleichzeitig sammelten Facebook, Google usw. Daten über das Nutzerverhalten auf all jenen Webseiten, auf denen sich Nutzer mit ihrem Profil anmelden. Aus diesen Informationen könnten umfassende persönliche Profile gebildet werden, welche dann auch Werbezwecken dienten. Das Problem laut Öksüz: „Die zielgerichtete Werbung führt nicht automatisch zum besten und günstigsten Angebot.“

Single-Sign-On beeinflusst Social-Media-Profil

Eine weitere Gefahr bestehe darin, „dass auf dem eigenen Social-Media-Profil Dinge geschehen, von denen man nichts mitbekommt“. Denn um das Login auf einer anderen Internetseite nutzen zu können, werde auf „facebook“ oder „Google“ eine entsprechende App freigeschaltet. Einige davon verlangten weitreichende Rechte, etwa im Namen der Nutzer unbemerkt Dinge zu „liken“ oder zu posten. „Die Rechte werden bei der Einrichtung des Logins aufgelistet. Wichtig ist es dabei, jeden Punkt zu lesen und (falls möglich) einzelne Rechte durch Wegklicken kleiner Haken zu entfernen“, rät Öksüz. Ferner empfiehlt sie: „Ist das bei Rechten, die man nicht erlauben will, nicht möglich, bleibt nur eines: Den Login für die entsprechende Seite nicht zu nutzen und die Einrichtung mit einem Klick auf ,Abbrechen’ zu beenden.“

Login per Single-Sign-On nicht nutzen, um möglichst wenige persönliche Daten weiterzugeben

„Wer möglichst wenig persönliche Daten weitergeben möchte, sollte den Login per Single-Sign-On nicht nutzen“, unterstreicht Öksüz. Wer indes auf den Komfort nicht verzichten möchte, sollte das entsprechende Benutzerkonto besonders gut absichern: „Dazu gehört ein starkes Passwort, das für kein anderes Konto genutzt wird.“ Idealerweise sichere man seine Konten soweit möglich auch noch über eine Zwei-Faktor-Authentifizierung ab. Login bzw. bestimmte Aktionen, wie die Bestätigung einer Zahlung, klappten dann erst durch einen zweiten Schritt – etwa die Eingabe einer per SMS erhaltenen PIN oder über die Bestätigung über eine spezielle App auf dem Smartphone.

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen
Sicher im Internet – Handy, Tablet und PC schützen

[datensicherheit.de, 29.09.2022] Das Bundeskriminalamt (BKA) hat am 29. September 2022 nach eigenen Angaben auf Ersuchen der Staatsanwaltschaft Köln, „Zentral- und Ansprechstelle Cybercrime NRW“ (ZAC NRW), drei Objekte in Nordrhein-Westfalen durchsucht. Dabei wurde demnach ein durch die Staatsanwaltschaft Verden (Aller) – „Zentralstelle für Internet- und Computerkriminalität (Cybercrime)“, beantragter und durch das Landgericht Hannover in Vollzug gesetzter Haftbefehl gegen einen 24-jährigen deutschen Staatsangehörigen vollstreckt und dieser festgenommen. Ihm sowie zwei weiteren Beschuldigten werde vorgeworfen, in einer Vielzahl von Fällen „Computerbetrug gewerbsmäßig“ sowie „Computersabotage im besonders schweren Fall“ begangen zu haben. Bei den polizeilichen Maßnahmen sei das BKA durch Einsatzkräfte des Landes NRW unterstützt worden. Die Ermittlungen gegen die Beschuldigten bei der ZAC NRW dauerten an.

Spezialisierte Dienststellen bei der Polizeidirektion Hannover und im BKA

Den Beschuldigten werde in den Ermittlungsverfahren der beiden Staatsanwaltschaften, „welche in Zusammenarbeit mit den für dieses Deliktsfeld spezialisierten Polizeidienststellen bei der Polizeidirektion Hannover und im BKA geführten werden“, vorgeworfen, mindestens vier Millionen Euro Schaden durch Computerbetrug verursacht zu haben.

Das Geld sollen die drei Männer durch den Betrug von Bankkunden erlangt haben, denen sie im großen Stil Phishing-Emails zugesandt hätten. Diese E-Mails seien optisch und sprachlich glaubwürdig echten Bank-E-Mails nachempfunden worden.

BKA warnt: Phishing-Opfer wurden aufgefordert, Login-Daten und eine aktuelle TAN einzugeben

„Den Opfern wurde in diesen Schreiben mitgeteilt, ihre Hausbank werde ihr Sicherheitssystem umstellen – und das eigene Konto sei davon betroffen.“ Die E-Mail-Empfänger seien so dazu verleitet worden, auf einen Link zu klicken, der wiederum zu einer täuschend echt aussehenden Bank-Webseite geführt habe.

Dort seien die Phishing-Opfer aufgefordert worden, ihre Login-Daten und eine aktuelle TAN einzugeben, „was den Betrügern wiederum ermöglichte, alle Daten im Konto des jeweiligen Opfers zu sehen – unter anderem die Höhe des Guthabens sowie die Erreichbarkeiten“. Daraufhin hätten die Täter die Opfer kontaktiert und diese als angebliche Bankmitarbeiter dazu verleitet, weitere TAN-Nummern preiszugeben. „Mit den TAN waren sie sodann in der Lage, Gelder von den Konten der Geschädigten abzuziehen.“

Laut BKA wurde im Darknet angebotene Crime-as-a-Service genutzt

Die Beschuldigten sollen sich notwendigen Arbeitsschritte, darunter die Programmierung, die Aufbereitung der Daten sowie die Telefonate, untereinander aufgeteilt haben. Zudem werde ihnen vorgeworfen, zur kriminellen Erlangung weiterer Bank-Daten sowie zur Verschleierung ihrer Taten sogenannte DDoS-Angriffe auf Geldinstitute und Zahlungskartenanbieter durchgeführt zu haben.

Hierbei seien durch massenhaft automatisierte Abfragen die Webpräsenzen, Server und Netzwerke der Unternehmen überlastet und so eine Nichterreichbarkeit der Online-Dienste herbeigeführt bzw. ihre Erreichbarkeit stark eingeschränkt worden. „Zur Realisierung ihrer Taten sollen die Beschuldigten auch auf Angebote weiterer Cyber-Krimineller zurückgegriffen haben, die im Darknet verschiedene Formen von Cyber-Attacken als ,Crime-as-a-Service’ verkaufen.“

BKA rät Bankkunden, niemals auf Links oder Datei-Anhänge in vermeintlichen E-Mails ihrer Hausbank zu klicken

Die Zusammenarbeit der verschiedenen Behörden auch in diesem Verfahren zeige die starke Vernetzung der Ermittler im Bereich „Cybercrime“, um derlei Betrugstaten zu unterbinden. Der 24-Jährige sowie ein 40-Jähriger seien in dem Verfahren der Staatsanwaltschaft Verden bereits beim Landgericht Hannover angeklagt worden. Ihnen würden 124 Taten des Computerbetrugs zur Last gelegt, welche sie gemeinschaftlich im Zeitraum vom 3. Oktober 2020 bis zum 29. Mai 2021 in Hannover und anderenorts begangen haben sollen.

Die Ermittler warnen daher: „Cyber-Kriminelle nutzen hoch professionelle Phishing-Mails.“ Diese seien zumeist das Einfallstor für Cyber-Straftaten. Im aktuellen Fall seien die Fälschungen kaum von professionellen Bank-E-Mails zu unterscheiden gewesen – „was auch zu der hohen Schadenssumme beitrug“. Bankkunden sollten niemals auf Links oder Datei-Anhänge in vermeintlichen E-Mails ihrer Hausbank klicken: „Kontaktieren Sie im Zweifel Ihren Bankberater persönlich oder informieren sich direkt auf der Website Ihres Geldinstitutes. Sollten Sie Opfer einer Straftat werden, erstatten Sie umgehend Anzeige bei der zuständigen Polizei.“

Weitere Informationen zum Thema:

datensicherheit.de, 01.12.2021
Gefälschte Websites der Sparkasse und Volksbank: Bankkunden in Deutschland im Phishing-Visier / Umfangreiche Phishing-Kampagnen zum Diebstahl von Zugangsdaten

datensicherheit.de, 12.10.2021
Phishing-Attacken: Cyber-Kriminelle missbrauchen Banken als Köder / Christine Schönig warnt vor Phishing-Gefahr durch Smartphones und Unachtsamkeit

Wer etwas online etwas bestellen möchte, sollte die Internet-Adresse damit vorab überprüfen lassen

[datensicherheit.de, 05.08.2022] „Ware online bestellt, aber nie geliefert? Stattdessen plötzlich merkwürdige Abbuchungen auf der Kreditkarte?“ – sogenannte Fakeshops, also unseriöse Online-Händler, seien für Verbraucher oft schwer zu erkennen und könnten schnell zur teuren Falle beim Einkaufen im Internet werden, warnt die Verbraucherzentrale NRW in einer aktuellen Meldung. Daher bietet sie ab sofort eine neue Online-Anwendung, mit der man einen Web-Shop vor der Bestellung auf Echtheit überprüfen können soll. Dieser kostenlose „Fakeshop-Finder“ prüft demnach, ob ein Web-Shop typische Merkmale eines unseriösen Anbieters aufweist. Wer überlegt, online etwas zu bestellen, könne die Internet-Adresse des Shops einfach unter „www.fakeshop-finder.nrw“ eingeben und binnen weniger Sekunden eine Einschätzung erhalten.

Abbildung: Screenshot von „www.fakeshop-finder.nrw“

„Fakeshop-Finder“ errechnet Wahrscheinlichkeit, ob es sich um einen unseriösen Anbieter handelt

Fakeshops eines der großen, dauerhaften Probleme im Verbraucheralltag

„Fakeshops sind eines der großen, dauerhaften Probleme im Verbraucheralltag und die Zahl der Beschwerden steigt stetig an“, erläutert Wolfgang Schuldzinski, Vorstand der Verbraucherzentrale NRW, und berichtet: „Im Jahr 2020 wurden in den Verbraucherzentralen rund 1.000 Verbraucherbeschwerden über Fakeshops erfasst, in 2021 hat sich die Zahl auf knapp 3.000 verdreifacht.“ Mit dem „Fakeshop-Finder“ werde eine schnelle Orientierung beim Online-Einkauf geboten – „damit künftig weniger Menschen in die Falle unseriöser Anbieter tappen“.

Mittels Künstlicher Intelligenz (KI) suche der „Fakeshop-Finder“ ständig gezielt nach Fakeshops im Internet. Rückgrat des „Fakeshop-Finder“ bilde eine wachsende Domänen-Datenbank. Geben Verbraucher eine Adresse ein, welche noch nicht in dieser Datenbank vorhanden ist, werde die eingegebene Internet-Adresse aufgesucht, um die betreffende Website nach solchen sehr oft bei unseriösen Web-Shops zu findenden Merkmalen zu scannen: Das könnten ein fehlendes Impressum sein, eine nicht existierende Umsatzsteuer-ID, aber auch mit bloßem Auge nicht zu erkennende technische, linguistische und strukturelle Merkmale. Auch öffentliche Listen von bekannten falschen Web-Shops kenne der „Fakeshop-Finder“.

Fakeshop-Finder als bundesweit neues Selbsthilfe-Tool

Aus diesen Kriterien errechne die Anwendung die Wahrscheinlichkeit, „ob es sich bei der eingegebenen Adresse um einen unseriösen Anbieter handelt“. Nach wenigen Sekunden werde das Ergebnis in Ampel-Form ausgegeben: „Rot bei einer eindeutigen Warnung, Gelb als Hinweis, vor der Bestellung genauer hinzusehen und Grün, wenn alles in Ordnung ist.“ Finanziert werde das Projekt vom Ministerium für Landwirtschaft und Verbraucherschutz des Landes Nordrhein-Westfalen.

„Gut und sicher im Internet einkaufen, klappt jetzt noch leichter dank neuem ,Fakeshop-Finder‘! Das bundesweit neue Selbsthilfe-Tool bringt alles mit, um rasch zum festen Begleiter beim sorgenfreien Online-Shopping zu werden. Mit wenigen Klicks können Verbraucherinnen und Verbraucher schnell und kostenlos herausfinden, ob ein Online-Shop seriös ist“, so Silke Gorißen, Ministerin für Landwirtschaft und Verbraucherschutz in NRW.

Fakeshops sind nur schwer zu erkennen

Hinter Online-Shops mit besonders günstigen Preisen würden sich nicht selten Fakeshops verbergen. Die angebotenen Produkte würden in der Regel gar nicht ausgeliefert, Kreditkarten mehrfach belastet oder die eingegebenen persönlichen Daten missbräuchlich genutzt.

Betrügerische Shops seien oft so programmiert, dass sie sich kaum von realen Online-Angeboten unterschieden. Außerdem erfolge die Erstellung von Fakeshops mittlerweile nahezu vollständig automatisiert, oft seien solche Adressen nur wenige Wochen im Netz, bevor sie durch neue ersetzt würden. Fakeshop-Listen im Internet veralteten daher schnell.

Weitere Informationen zum Thema:

verbraucherzentrale
Fakeshop-Finder / Ist dieser Online-Shop seriös?

verbraucherzentrale Nordrhein-Westfalen, 25.03.2022
Abzocke online: Wie erkenne ich Fake-Shops im Internet?

[datensicherheit.de, 14.06.2021] Ob der Online-Einkauf mit wenigen Klicks, die Terminbuchung bei der Hausärztin oder der private Austausch mit Familie und Freunden – unser Alltag ist offensichtlich digital geworden und hat viele Dinge einfacher gemacht. Dennoch warnt und empfiehlt die Verbraucherzentrale NRW: „Neben vielen Vorteilen birgt das Netz aber auch Risiken und Gefahren. Wie schütze ich meine privaten Daten? Wie kaufe und bezahle ich sicher im Netz? Solche und andere Fragen rund um digitale Angebote beantworten Experten der Verbraucherzentrale NRW am ,Digitaltag 2021‘ im Rahmen von Online-Veranstaltungen.“

Datensicherheit verstärkt im Fokus der Verbraucherzentralen

Im besonderen Fokus der Verbraucherschützer stehe derzeit das Thema Datensicherheit. Spätestens seit den Änderungen der Nutzungsbedingungen und Datenschutzbestimmungen von WhatsApp fragten sich viele Verbraucher, „wie sicher ihre Daten bei dem Messenger-Dienst sind und welche Alternativen es gibt“, so Ayten Öksüz, Digitalexpertin der Verbraucherzentrale NRW.
Auch die jüngsten Datenlücken bei Facebook hätten Verbraucher aufgeschreckt. Der Schutz der Privatsphäre sei den Menschen wichtig, aber für viele sei die Hürde, auf Alternativen umzusteigen, sehr hoch. Ein weiteres Problemfeld ist demnach „die Abzocke beim Online-Einkauf“. Der Betrug über gefälschte Internetverkaufsplattformen habe stark zugenommen und zu zahlreichen Beschwerden bei der Verbraucherzentrale geführt.

Verbraucherzentralen wirken in der Initiative „Digital für alle“ mit

„Unser Ziel ist, dass sich alle Menschen sicher und selbstbestimmt in der digitalen Welt bewegen können“, betont Öksüz. Dabei müsse im Auge behalten werden, dass Verbraucher ganz unterschiedliche Voraussetzungen und Bedürfnisse mitbrächten: Jugendliche hätten einen anderen Aufklärungsbedarf als Senioren, Zugewanderten müssten Informationen zur Verfügung gestellt werden, „die ihren sprachlichen Kenntnissen entsprechen“, und auch Pädagogen hätten aktuell einen besonderen Unterstützungsbedarf bei der Gestaltung digitaler Bildungsangebote.
Öksüz abschließend: „Wir bieten daher ein auf die jeweilige Zielgruppe abgestimmtes Unterstützungsangebot an, das die Menschen dort abholt, wo sie gerade stehen.” In der Initiative „Digital für alle“ haben sich laut Verbraucherzentrale NRW 27 Organisationen aus Zivilgesellschaft, Kultur, Wissenschaft, Wirtschaft und Öffentlicher Hand zusammengeschlossen, darunter auch die Verbraucherzentralen. Im Rahmen des „Digitaltags“ am 18. Juni 2021 sollen bundesweit Aktionen zur Förderung der Digitalen Teilhabe stattfinden.

Weitere Informationen zum Thema:

Digitaltag 2021
Digitalisierung gemeinsam gestalten

datensicherheit.de, 03.06.2021
Digitaltag 2021: Bundesweiter Aktionstag zur Förderung Digitaler Teilhabe / Repräsentative Studie anlässlich des 2. Digitaltags zeigt Distanz der Über-65-Jährigen gegenüber digitalen Geräten auf

verbraucherzentrale Nordrhein-Westfalen
Online-Seminare der Verbraucherzentrale NRW / Hier finden Sie unsere Online-Veranstaltungen

verbraucherzentrale Nordrhein-Westfalen, 02.06.2021
Spielerisch informiert mit dem Getränke-Parcours

verbraucherzentrale Nordrhein-Westfalen, 07.06.2021
Smartphone-Rallye gegen Datenklau in sozialen Medien – machen Sie mit!

verbraucherzentrale Nordrhein-Westfalen, 12.05.2021
Einkaufen im Internet

[datensicherheit.de, 09.04.2021] Laut Medienberichten werden derzeit viele Mobiltelefon-Nutzer von einer SMS-Flut belästigt: Diese stammten von angeblichen Paketdiensten und forderten Empfänger auf, einen Link zu öffnen. Die Absichten hinter der Betrugsmasche sind nach Angaben der Verbraucherzentrale NRW unterschiedlich: Einige hätten es darauf abgesehen, schädliche Apps zu verbreiten, um Daten auszulesen und massenweise SMS-Nachrichten an gespeicherte Kontakte zu senden. Andere wollten ahnungslose Opfer in sogenannte Abo-Fallen locken. „Seit Ostern werden diese SMS offenbar noch viel häufiger verschickt als zuvor. Darauf deutet eine gestiegene Anzahl an Verbraucheranfragen hin”, berichtet Hauke Mormann von der Verbraucherzentrale NRW. Diese erläutert nachfolgend, wie sich Verbraucher vor solchen SMS-Nachtichten schützen und was sie tun können, wenn sie bereits in die Betrugsfalle getappt sind.

Tipp 1: Verhalten beim Empfangen einer unerwünschten SMS-Nachricht

Unerwünschte SMS-Nachrichten mit unseriösen Links sollten sofort gelöscht werden – keinesfalls darauf antworten, darin enthaltene Links öffnen oder vorgeschlagene Apps installieren! „Im Idealfall sollte keine Reaktion der Betroffenen erkennbar sein, dass ihre Rufnummer aktiv ist.“

Tipp 2: Schutzmaßnahme, wenn ein Link in der SMS-Nachricht geöffnet wurde

Um den Missbrauch ihres Smartphones zu vermeiden, sollten Betroffene den Flugmodus aktivieren und den Mobilfunk-Anbieter informieren. Dieser erstelle auf Anfrage auch einen Kostennachweis über möglicherweise verschickte SMS-Nachrichten. „Eine Anzeige bei der Polizei sollte in jedem Fall erstattet werden, auch um mögliche Versicherungsansprüche geltend zu machen.“

Tipp 3: Empfang unerwünschter SMS-Nachrichten verhindern

In den Einstellungen vieler Nachrichten-Apps könnten Verbraucher festlegen, dass sie nur SMS von gespeicherten Kontakten empfangen möchten. Wer Service-Angebote wie zum Beispiel Termin-Erinnerungen oder Informationsdienste von Banken nutzt, müsse daran denken, diese Rufnummern fortan einzuspeichern. Manche Smartphones oder Sicherheits-Apps böten auch Spam-Filter an. Diese könnten helfen, die Zahl unerwünschter SMS-Nachrichten zu verringern. Grundsätzlich sollten Verbraucher möglichst sparsam mit ihren Daten umgehen und ihre Mobilnummer nur angeben, wenn es zwingend nötig ist. „Wer langfristig von der SMS-Flut betroffen ist, sollte über einen Wechsel der Rufnummer nachdenken.“

Tipp 4: Schutz vor Schäden durch solche SMS-Nachrichten

Vorsicht sei insbesondere dann geboten, wenn nach dem Antippen eines Links eine App installiert werden soll. Befinden sich Apps nicht in einem offiziellen Store des Smartphones, sei die Wahrscheinlichkeit größer, dass es schädliche Programme sind. Nutzer eines „Android“-Smartphones könnten in den Einstellungen festlegen, dass Apps aus unbekannten Quellen nicht installiert werden dürften und sich so schützen. Bei „iPhones“ seien nur Installationen aus dem „App-Store“ von Apple möglich, sofern man die Geräte nicht selbst manipuliert hat. Verbraucher sollten generell bei ihrem Mobilfunk-Anbieter eine Drittanbietersperre aktivieren, sofern dies noch nicht geschehen ist. „Betriebssystem und Apps sollten durch automatische Updates immer aktuell gehalten werden.“

Tipp 5: Reaktion auf unerwünschte SMS-Kosten

Wenn Verbraucher durch unseriöse SMS Kosten entstanden sind, könnte eine Hausratversicherung dafür aufkommen. Viele Verträge enthielten Schutz vor Schäden durch Phishing, wenn zum Beispiel missbräuchlich Einkäufe im Internet getätigt wurden. „Auch spezielle Cyber-Versicherungen können solche Schäden abdecken.“

Weitere Informationen zum Thema:

verbraucherzentrale Nordrhein-Westfalen, 09.04.2021
Paketdienst-SMS: Vorsicht, Abzocke!

Neue App hat auch in Deutschland einen Hype ausgelöst

[datensicherheit.de, 21.01.2021] In einer aktuellen Stellungnahme der Verbraucherzentrale NRW (vz NRW) wird auf eine neue App aus den USA eingegangen, welche auch in Deutschland einen Hype ausgelöst habe: „Clubhouse“ sei in etwa vergleichbar mit einer Anwendung für Telefonkonferenzen. „Der Datenschutz ist allerdings kritisch“, so die Warnung.

Abbildung: Verbraucherzentrale NRW

vz NRW warnt vor Datenschutz der App „Clubhouse“ – dieser sei derzeit „kritisch“

App-Nutzung bisher nur auf Einladung

Der Name klinge so exklusiv wie das Produkt derzeit noch sei: Als „drop-in audio chat“ sei „Clubhouse“ im App-Store von Apple zu finden – und nur dort.
Es gebe keine Version für das weitaus mehr verbreitete Betriebssystem „Android“.
Wer „Clubhouse“ nutzen möchte, könne es zwar kostenlos installieren und sich unter Angabe seiner Mobilfunknummer einen Benutzernamen reservieren – allerdings nicht unbedingt verwenden. „Denn das geht nur auf Einladung von jemandem, der bereits im ,Club‘ ist“, berichtet die vz NRW.

Erhebliche Datenschutzbedenken der App trübten den Spaß

Die Anwendung stammt demnach von Alpha Exploration Co. in Salt Lake City (USA). Hauptzweck dieser App seien Live-Podcasts – in etwa vergleichbar mit öffentlichen Telefonkonferenzen, an denen jedes „Clubhouse“-Mitglied teilnehmen könne.
Vergangene Woche sei in Deutschland ein Hype um diese App ausgebrochen. Einladungen würden sogar gegen Geld auf Online-Auktionsplattformen angeboten.
Doch erhebliche Datenschutzbedenken trübten den Spaß. Deutsche Nutzer ohne Englischkenntnisse fänden keine Datenschutzerklärung in ihrer Sprache – auch eine Adresse für Datenschutzauskünfte in der EU gebe es nicht. Weil der Dienst in Europa angeboten werde, sehe die Datenschutzgrundverordnung (DSGVO) dies aber vor.

App verlangt Zugriff auf alle gespeicherten Kontakte im Telefonbuch

„Noch kritischer sehen wir aber zwei weitere Punkte“, so Ayten Öksüz, Datenschutzexpertin der vz NRW, und führt aus: „Erstens: Die App verlangt den Zugriff auf alle gespeicherten Kontakte im Telefonbuch – sonst lassen sich keine Einladungen verschicken.“ Wer das erlaube, sollte wissen, dass dadurch Daten anderer an ein US-Unternehmen mit Servern in den USA gesendet würden. Dies sei in der Regel kritisch, „sofern Betroffene dem nicht zugestimmt haben“.
Zweitens würden Gespräche auf den Servern in den USA aufgezeichnet und könnten unter Umständen ausgewertet werden, berichtet Öksüz. Laut Datenschutzerklärung der Betreiber geschehe das, um Beschwerden oder während der „Clubhouse“-Gespräche begangenen Rechtsverstößen nachgehen zu können – als Beispiel werde „Hate Speach“ genannt. Falls kein Teilnehmer etwas Derartiges an die Betreiber meldet, würden Aufnahmen – laut Anbieter – nach dem Schließen des Chatraums gelöscht. „Dennoch sollten sich Teilnehmer überlegen, ob sie das Gesagte auch im Radio sagen würden“, empfiehlt Öksüz.
Noch sei „Clubhouse“ laut eigener Aussage auf seiner Website im „privaten Beta-Status“. So bleibe abzuwarten, ob die kritisierten Punkte bis zum Start für alle (auch ohne Einladung) noch angegangen werden.

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2021
TikTok: Erneut Schwachstelle entdeckt

[datensicherheit.de, 26.05.2018] In seiner Stellungnahme zum endgültigen Inkrafttreten der DSGVO weist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) auf einen ambitionierten Anspruch hin: Zum einen sollen für über 500 Millionen EU-Bürger stärkere Datenschutzrechte durchgesetzt werden, auf der anderen Seite soll der freie Verkehr personenbezogener Daten in einer der größten Volkswirtschaft der Welt weder eingeschränkt noch verboten werden.

Bewährungsprobe für die DSGVO

Die DSGVO müsse nunmehr beweisen, ob sie in diesem Spannungsverhältnis bestehen wird. Ein reformiertes Datenschutzrecht sei gerade in Zeiten von „Big Data“ und der Digitalisierung richtig und wichtig, um der Gefährdung der Freiheit der Menschen, über ihre Daten selbst zu bestimmen, entgegenzuwirken.
Im Rahmen der Verordnung müssten aber Vereine auch weiter ihre „unverzichtbaren gesellschaftlichen Aufgaben“ erfüllen und Unternehmen „wettbewerbsfähige Geschäftsmodelle der Zukunft“ entwickeln können.

Deutsches Datenschutzrecht weitgehend ersetzt

Die DSGVO ist nun „direkt anwendbares Recht und ersetzt damit weitgehend das deutsche Datenschutzrecht“. Nationale Regelungsspielräume bestünden nur noch in einem begrenzten Umfang. Das neue Bundesdatenschutzgesetz setze einzelne Regelungsaufträge der Verordnung um und schaffe ergänzende Vorschriften dort, wo Öffnungsklauseln der Verordnung es erlauben – es sei zeitgleich in Kraft getreten.
Die Verordnung erlaube es z.B., die Pflicht zur Benennung eines Datenschutzbeauftragte in nationalen Ausführungsgesetzen auf weitere Stellen auszudehnen. Der Bundesgesetzgeber habe diesen Regelungsspielraum im neuen Bundesdatenschutzgesetz genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragte dem in Deutschland bestehenden Status quo anzupassen.

Aufsichtsbehörden haben „Werkzeugkasten“ für Sanktionen

Im Vordergrund der Debatte stehen laut LDI NRW häufig die Befürchtungen, dass Verstöße gegen die Verordnung in Zukunft mit Geldbußen in Millionenhöhe geahndet werden können. Unerwähnt bleibe dabei oft, dass die Verordnung den Aufsichtsbehörden einen „Werkzeugkasten“ in die Hände gegeben habe, um jeden Einzelfall datenschutzrechtlicher Missstände angemessen zu beheben – Geldbußen seien darin nur eine von vielen Möglichkeiten. An erster Stelle steht die Beratung.
Auch von Sanktionen würden die Aufsichtsbehörden Gebrauch machen – jedoch mit Augenmaß. Für die konkrete Bestimmung der Höhe eines Bußgeldes werde eine Vielzahl von Aspekten einzubeziehen sein: „Art, Schwere und Dauer des Verstoßes, aber auch, ob und wie mit den Aufsichtsbehörden zusammengearbeitet wurde, um Verstößen abzuhelfen, und ob diese eigenständig mitgeteilt wurden.“

Europäischer Datenschutzausschuss und Datenschutzkonferenz

Die nationalen Datenschutzbehörden würden in einem neuen Format zusammenarbeiten: Der Europäische Datenschutzausschuss solle gewährleisten, dass die Rechtsauslegung europaweit vereinheitlicht wird. Im Einzelfall würden seine Entscheidungen verbindlich sein.
Die Datenschutzkonferenz werde in Deutschland auch in Zukunft schwerpunktmäßig praxisgerechte Auslegungs- und Anwendungsfragen zur Verordnung klären.

Die Vorsitzende der Datenschutzkonferenz, Helga Block (LDI NRW): „Die Forderungen an die Aufsichtsbehörden, Klarheit in strittige Auslegungs- und Anwendungsfragen der Datenschutz-Grundverordnung zu bringen, sind berechtigt. Diese Auslegungen stehen jedoch unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses.“

ePrivacy-Verordnung soll DSGVO präzisieren

Die DSGVO spreche viele Themen an, ohne sie explizit zu regeln. Insbesondere im Hinblick auf die elektronische Kommunikation solle die ePrivacy-Verordnung die Datenschutz-Grundverordnung präzisieren und ergänzen. Sie werde das deutsche Telekommunikationsgesetz und Telemediengesetz in der bisherigen Form teilweise ersetzen, bzw. werde auch hier eine Anpassung des deutschen Gesetzgebers notwendig sein.
Mit dem Inkrafttreten im Jahr 2018 sei jedoch nicht mehr zu rechnen. Die derzeit herrschenden Unklarheiten müssten schnell mit klaren Gesetzen beseitigt werden.

Weitere Informationen zum Thema:

LDI NRW
Entschließungen der Datenschutzkonferenz

LDI NRW
Kurzpapiere: EU-Datenschutzreform

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018